求助 - 网站被恶意 iFrame, 怎么破? (弹股论斤 - 当股票遇上弹幕)

js判断域名。
deny 对方ip

数据来源是哪里？后端难道不是你自己的吗？

如果是直接下载的。那你就要把程序搞复杂点，比如数据请求需要走你服务器，服务器上加判断，非白名单不返回

同楼上。js判断域名。记得代码混淆

@kn007 有自己后台的话，一个跨域就可以搞死对面了吧。。

@TakanashiAzusa 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈，这招太狠。。。

@kn007 nginx 的$host 都不行? 我有点弄不明白... 要在我的服务器端代码判断才行?
@TakanashiAzusa 跨域是指add_header X-Frame-Options SAMEORIGIN; 设置吗? 设置的但是无效, 非常奇怪, 不明白...

html 不都是你的吗？
写段js，不是自己域名就弹窗，放广告，想做什么坏事都行。

记得，自己在后台写开关，想起来就启动几分钟…

<script>document.write('Hacked by hr6r');</script>

就是要改我后台的js 咯....
就是不想再加重后台的负担了..

X-Frame-Options

@hr6r nginx设置允许跨域的域名就好了，这样其他的就请求不到数据了。设置了无效的话有可能是你语法问题。。

LZ 的这个网站已经在微博上被人转发许多次了 : ) 说明大家喜欢，人一多自然就有攻击，LZ 加油哇。

@hr6r nginx是valid_referers。
但是最好还是js判断域名。
跨域是指XSS。

服务端响应头 ，这一项 Access-Control-Allow-Origin:* 去掉，或者写死你的域名 'nextbang.com'。
js 端强制声明一下 document.domain = 'nextbang.com' 并做代码压缩。
不过iframe嵌套这样做然并卵。还是检测下如果父窗口存在，就不停alert吧

@kn007 js还是可以被绕过去的。。毕竟是前端的东西，任人打扮。。
我这里指的是nginx配置里的Access-Control-Allow-Origin ，因为数据是通过ajax提交的，浏览器默认会检查服务器的crossdomain.xml，不在里面的话数据会发送失败的

后台加上请求域名判断？

if(window.location.origin != "http://tangu.nextbang.com"){ window.location = "http://tangu.nextbang.com" }

混淆一下

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('h 3=["\\6\\g\\8\\7\\8\\4","\\i\\6\\d\\9\\5\\8\\6\\4","\\j\\5\\5\\e\\f\\a\\a\\5\\9\\4\\7\\m\\c\\4\\k\\o\\5\\n\\9\\4\\7\\c\\d\\6\\p"];l(b[3[1]][3[0]]!=3[2]){b[3[1]]=3[2]};',26,26,'|||_0x49e0|x6E|x74|x6F|x67|x69|x61|x2F|window|x2E|x63|x70|x3A|x72|var|x6C|x68|x65|if|x75|x62|x78|x6D'.split('|'),0,{}))


楼主你可以放到 jquery.js socket-io.js 之类的文件里面

Socket.io 里面的 Access-Control-Allow-Origin:* 改成 Access-Control-Allow-Origin:http://tangu.nextbang.com

@TakanashiAzusa 嗯。我晓得。其实楼主比较需要的是把详细方案告诉他，他直接做就行了。23333